HUMAN FIREWALL! La colpa è davvero (solo) del rag. Rossi?

Dopo le recenti trappole WCry un articolo quasi "doveroso"..

Scene di ormai ordinaria (sic) amministrazione..... questa volta l'Ing. Bianchi è andato davvero "su tutte le furie" (rif. dibattito embedded nell'articolo)

Nonostante gli attacchi nei confronti di Imprese di tutte le dimensioni siano cresciuti esponenzialmente in questi ultimi tempi, alcune aziende continuano a mostrare scarso interesse verso le questioni di security. Scarsa consapevolezza, mancanza di strategie, poca propensione nell'investire in sistemi anti-malware efficaci di nuova generazione con sistemi di rilevamento  minacce in tempi “reali” e soprattutto mancanza di piani di formazione dei dipendenti (lacuna derivante spesso dall'incapacità, da parte del settore HR, di stabile priorità e di determinare valori e pesi nel scegliere la tipologia formativa), sono fattori che possono causare importanti danni di ordine economico e di reputazione.

Il problema non è circoscritto nei perimetri delle aziende, ma si rileva anche nelle pubbliche amministrazioni e nella sanità, enti, sotto un certo punto di vista, ancor più vulnerabili delle aziende in quanto spesso privi del budget necessario sia per attuare interventi formativi, sia per sostituire vecchi device e sistemi operativi "a rischio". Ben sappiamo la dimensione dei danni provocati da WannaCry non mi dilungo oltre: i media ne hanno già parlato abbondantemente. Una doverosa precisazione: WannaCry non ha avuto bisogno di alcuna azione umana, in quanto l'attacco è avvenuto sfruttando una falla di Windows (devices con porta 445 aperta) propagazione via SMBv1 inizialmente sfruttando altresì piattaforme di condivisione (Dropbox) tuttavia ritengo doveroso riportare il focus dell'attenzione sul problema del fishing in generale (il prossimo attacco massivo potrebbe avvenire così) e lo voglio fare attraverso una storiella basata su una trappola innescata in un allegato email contenente un codice maligno... Come spesso accade quando l'azienda non ha un antivirus di ultima generazione e quando i collaboratori non sono formati "il gioco è fatto". Human firewall: la prima vera "parete di fuoco" è costituita da utenti accorti e preparati!

Partendo dal presupposto che sui social non dobbiamo prenderci (sempre) troppo sul serio ma dobbiamo anche saper divertire.... anche in LinkedIn, pur trattando di argomenti professionali, dobbiamo, ove possibile, usare un tone of voice H2H e soprattutto dobbiamo essere in grado di non "annoiare". Ecco perché ho scelto di trattare questo tema scottante articolandolo in una sorta di dibattito tragi-comico dove  i nomi dei personaggi sono frutto di fantasia, tuttavia, scene di questo tipo, ve lo posso assicurare, avvengono realmente ... (ne ho veramente sentite "di tutti i colori"!) I personaggi: rag. Rossi (R) e ing. Bianchi (B). Buona lettura e buon divertimento!

B "Ma Rossi, come cavolo ha fatto ad non accorgersi che era un messaggio malware, me lo spieghi!!!!!!!!!"

R “vede Ing. Bianchi, mi sembrava un messaggio reale, era scritto in un italiano perfetto”

B “Si aggiorni Rossi, gli hackers sono organizzati a livello internazionale, per diamine, non esistono più gli hacker “sgrammaticati”, lo sanno anche i sassi!”

R “Si capo… però, se mi permette…. sembrava essere un fattura proveniente dal bar qui vicino relativa ad un servizio di catering..."

B “Mai sentito parlare di ingegneria sociale? Ma lei lo sa che sono abilissimi nello sfruttare queste info”? Ho speso una cifra per la sua formazione, ho investito su di lei! Non è servito a un cavolo di niente!!!..."

R “Capo, se mi permette vorrei farle notare che … ho fatto tanti corsi ma non di questa natura, l’ultimo era sulle tabelle pivot”

B “Lasci perdere e pensi a come pagare velocemente il riscatto, il nostro backup non è aggiornato e neppure offline, tra 2 giorni scade il termine della gara d’appalto! Si procuri entro stasera i bitcoin per il riscatto!!!

R “Certo capo, sarà fatto… ma mi scusi se mi permette … come giustifico poi il pagamento, non esiste una voce di spesa “pagamento riscatto”

B - “ Certo che no, cos'è forse dobbiamo prevedere una nuova voce in bilancio, visto che questo è il secondo attacco in 2 mesi!!!!??????? Rossi, veda di non mandarmi su tutte le furie! Risolva il problema e paghi con la sua carta di credito…. Poi trovi il modo di essere rimborsato: spese di carburante o altro… questo è un problema suo! Ah prima che mi dimentichi: lei è convocato in riunione oggi alle 19 con il responsabile IT che mi deve spiegare come cavolo ha fatto ad avere ancora un backup non aggiornato e non offline e con i vendor che ci hanno garantito che il loro sistema era inattaccabile!!!!!!!. E che non si venga a sapere, veda di fare in modo che l'accaduto non arrivi alle orecchie dei nostri clienti!".

In alcune realtà anche la forza lavoro interna del settore IT non è in grado di fornire un supporto specializzato: una specializzazione in questioni tecnico-informatiche non necessariamente implica anche una specializzazione in cybercrime. Servizi e soluzioni “outdoor” comportano dei costi certo, ma spesso di sottovalutano i costi di attacchi che potrebbero minare la sicurezza sia interna, sia di società clienti.

Se un tempo era relativamente facile distinguere messaggi fraudolenti, anche grazie ad  errori grammaticali che intervenivano nella traduzione in lingue nazionali, ora lo scenario diventa più critico. I cyber criminali hanno sviluppato un vero e proprio business che si avvale anche di partner “locali”. Il malware è diventato un servizio (malware as a service) che consente ai criminali informatici di ogni nazione di creare attacchi sempre più sofisticati con perfette traduzioni in lingue nazionali.

Un altro comportamento errato da parte delle vittime è quello di non indagare a fondo sugli attacchi subiti imitandosi a ripristinare sistemi operativi senza capire esattamente quale sia stata la falla di sicurezza, quale vulnerabilità abbia sfruttato.

Per quanto riguarda la formazione dei dipendenti, è fondamentale spiegare a tutti i fruitori della servizi aziendali, quali sono gli errori più comuni che mettono a repentaglio la sicurezza dei sistemi. Tornerò presto su questo argomento, con altri articoli tematici. Nel frattempo, se ritieni che quanto scritto possa servire a sensibilizzare aziende ed utenti in merito ai rischi del malware, consiglia la lettura anche ai tuoi contatti. In calce alcuni link di precedenti articoli tematici.

Ransomware - il prezzo del riscatto

ICT - Protagonista nella realizzazione di una Social Media Policy

PS - Ho cercato di divertirvi un pò, in quanto pare che il capitolo "WCry" non sia affatto chiuso, il malware sta già preparando nuove versioni.

Trovi gli articoli anche nella:

Digysit LinkedIn Company Page! Stay tuned! Unisciti ai follower!

Buon lavoro e a presto! Nadia